OWASP Vakfı, eski Wiki web sunucusunun yanlış yapılandırılması nedeniyle bazı üyelerin özgeçmişlerinin çevrimiçi olarak ifşa edilmesinin ardından bir veri ihlali olduğunu açıkladı.
Dünya Çapında Açık Uygulama Güvenliği Projesi'nin kısaltması olan OWASP, Aralık 2001'de kurulan ve yazılım güvenliğine odaklanan kar amacı gütmeyen bir vakıftır.
Artık on binlerce üyesi ve dünya çapında eğitim ve öğretim konferansları düzenleyen 250'den fazla bölümü var.
OWASP, çeşitli destek taleplerinin ardından Şubat ayı sonlarında Media Wiki'deki yanlış yapılandırmayı keşfettiğini söyledi. Olay, yalnızca eski üyelik sürecinin bir parçası olarak vakfa katılırken özgeçmişlerini sağlayan 2006 ile 2014 yılları arasındaki üyeleri etkiledi.
OWASP İcra Direktörü Andrew van der Stock, “Özgeçmişler isimler, e-posta adresleri, telefon numaraları, fiziksel adresler ve diğer kişisel olarak tanımlanabilir bilgileri içeriyordu” dedi.
“OWASP, erken üyelik sürecinin bir parçası olarak özgeçmişler topladı; bu sayede 2006 ile 2014 yılları arasında üyelerin OWASP topluluğuyla bağlantı göstermeleri gerekiyordu. OWASP artık üyelik sürecinin bir parçası olarak özgeçmiş toplamıyor.”
Vakıf, etkilenen kişilere e-posta göndererek, çoğu artık üye olmasa da ve açığa çıkan kişisel bilgiler çoğu durumda güncelliğini yitirmiş olsa bile, olayla ilgili onları bilgilendirecek.
OWASP ayrıca veri ihlalini gidermek için dizine göz atmayı devre dışı bırakarak ve diğer güvenlik sorunları için web sunucusunu ve Media Wiki yapılandırmasını gözden geçirerek çeşitli önlemler aldı.
Daha fazla erişimi önlemek için wiki sitesindeki tüm özgeçmişleri kaldırdılar ve Cloudflare önbelleğini temizlediler. Ayrıca OWASP, Web Arşivi'ne ulaşarak açığa çıkan özgeçmiş bilgilerinin kaldırılmasını talep etti.
Van der Stock, “OWASP bilgilerinizi zaten İnternet'ten kaldırmıştır, bu nedenle sizin tarafınızdan acil bir işlem yapılmasına gerek yoktur. Risk altındaki bilgiler güncel değilse hiçbir şey yapılmasına gerek yoktur” diye ekledi van der Stock.
“Ancak bilgiler güncelse, örneğin cep telefonu numaranızı içeriyorsa, lütfen istenmeyen e-postaları, postaları veya telefon çağrılarını yanıtlarken olağan önlemleri alın.”